My Home NW Lab

逸般の誤家庭のネットワーク

Catalyst 9800のSite Tagの最大数 (2024年04月時点の発売済みモデル)

Catalyst 9800

Catalyst 9800のSite Tagの最大数はモデルによって変わるため、一覧で俯瞰できるようにまとめました。

Catalyst 9800のSite Tagの最大数

文字ベースの表も併記します。

Model Maximum site tags
Catalyst 9800-L 250
Catalyst 9800-40 2000
Catalyst 9800-80 6000
Catalyst 9800-CL - Small 1000
Catalyst 9800-CL - Medium 3000
Catalyst 9800-CL - Large 6000

ちなみに、デフォルトで存在する default-site-tag は削除できないため、カスタムで作成できるのは最大数 -1 になります。

wlc01(config)# no wireless tag site default-site-tag
Deleting site-tag will cause associated APs to disconnect
% node-1:dbm:wireless:Default site tag cannot be deleted.
wlc01(config)#
wlc01(config)# end
wlc01#
wlc01# show running-config | include wireless tag site
wireless tag site default-site-tag
wlc01#

情報源

基本的には各モデルのData Sheetに Maximum site tags として記載されています。 下記のページから各モデルのData Sheetへのリンクを辿れます。

Cisco Catalyst 9800 Series Wireless Controllers - Data Sheets - Cisco
https://www.cisco.com/c/en/us/products/wireless/catalyst-9800-series-wireless-controllers/datasheet-listing.html

Catalyst 9800-LはData Sheetではなく、Deployment Guideに記載されていました。 念のため実機でも最大値が 250 であるのは確認しております。

Catalyst 9800-L Deployment Guide
https://www.cisco.com/c/dam/en/us/products/collateral/wireless/9800-series-wireless-controllers/guide-c07-742458.pdf

Catalyst 9800-LのDeployment Guide

仮想アプライアンス版のCatalyst 9800-CLでは、OVA Template size/VM Template (Small, Medium, Large)によって最大数が変わります。

Catalyst 9800-CLのData Sheet

Site Tagの最大数超過時のエラー

Site Tagの最大数が 1000 のCatalyst 9800-CL (Small) にて、最大数を超過してSite Tagを作成しようとした際のエラー ログを控えておきます。
% node-1:dbm:wireless:Cannot create more than 1000 site-tag entries. のようにエラーが表示されます。

wlc01(config-site-tag)# wireless tag site Area0998
wlc01(config-site-tag)# wireless tag site Area0999
wlc01(config-site-tag)# wireless tag site Area1000
% node-1:dbm:wireless:Cannot create more than 1000 site-tag entries.
wlc01(config)#
wlc01(config)# end
wlc01#
wlc01# show platform software system all
Controller Details:
=================
VM Template: small
Throughput Profile: high
AP Scale: 1000
Client Scale: 10000
WNCD instances: 1
<snip>

最大値の確認用のコマンドは bash を用いて生成しました。

for num in `seq 1 1001`
do
    printf "wireless tag site Area%04d\r\n" ${num}
done

ThousandEyes Endpoint AgentのインストーラーがAccount Groupに紐づかない汎用版に変更 (2024年04月頃)

ThousandEyes

ThousandEyesのEndpoint Agentのインストーラーが特定のAccount Grooupに紐づかないようになり汎用化しました。
それに伴い、Endpoint Agentのインストール時にConnection Stringを指定するステップが増えています。

特定のAccount Groupに紐づく昔からのインストーラーは Custom Installer(s) と呼ばれ、汎用化されたものは Generic Installer(s)と呼ばれています。

なお、Custom Installer の公開リンクは2024年06月20日以降は利用できなくなります。

ThousandEyes Endpoint AgentのGeneric Installer (汎用インストーラー)

ダウンロード済みの古い Custom Installer は今後も使い回せるようですが、新しい Generic Installer の利用が推奨されています。

古い Custom Installer を使い回しても結局は最新バージョンへの更新処理が走るので、クラウド側との不整合が起きないように最初から新しい Generic Installer を利用するのが好ましいです。 課題を解決するためにThousandEyesを導入しているのに、そのThousandEyesでのトラブル対応コストが増えたら元も子もないので。

情報源

事前のアナウンスは2024年03月14日のChangelogで行われています。

2024-03-14
Endpoint Agent: Generic Installers to replace Custom Installers
https://docs.thousandeyes.com/whats-new/changelog#endpoint-agent-generic-installers-to-replace-custom-installers

Changelog: 2024-03-14

背景理由はChangelogに記載がありますが、Custom Installerは(Account Groupに紐づく関係により環境によって固有データとなるため、)アンチ ウイルスによってブロックされたり。 企業がサプライチェーン攻撃などの問題を防ぐために厳格化な基準に準拠していっているので、Custom Installerが適切ではなくなったようです。

関連ドキュメント

Install the Endpoint Agent | ThousandEyes Documentation
https://docs.thousandeyes.com/product-documentation/global-vantage-points/endpoint-agents/installing/install-the-endpoint-agent

関連記事

下記は Custom Installer 時代の古い内容になります。

myhomenwlab.hatenablog.com

物理アプライアンス版のCatalyst 9800で管理系にアクセスするための最低限の設定

Catalyst 9800

物理アプライアンス版のCatalyst 9800にて、Web UIやSSHで管理系Interfaceにアクセスするための最低限の設定を書き残します。

設定の概要としては下記になります。

  • 管理系InterfaceのIP Addressの指定
  • 管理系ルーティングの追加
  • ログイン情報の追加

管理系アクセスの構成イメージ

想定しているモデルは2024年04月時点で登場している C9800-L-C-K9, C9800-L-F-K9, C9800-40-K9, C9800-80-K9 であり、管理系のInterfaceは GigabitEthernet0 で共通です。 また対象モデルでは管理系のVRFが Mgmt-intf になっています。

事前の補足

GigabitEthernet0 には vrf forwarding Mgmt-intf がデフォルトで適用されております。 本設定例では管理系VRFの視覚化のために ! でコメント アウトした状態で表記しています。

検証環境用の流し込みコンフィグの想定で書いたため、資格情報に関わる password の部分は secret に適宜置き換えてください。

物理アプライアンス版のCatalyst 9800で管理系にアクセスするための最低限の設定

環境に応じて読み替え/書き換えが必要な個所を下記に整理します。

設定項目 設定値
IP Address 172.16.0.123
Subnet Mask 255.255.255.0
Gateway 172.16.0.254
Username admin
Passw0rd Pa$$w0rd

設定例

configure terminal

interface GigabitEthernet0
 !!!! vrf forwarding Mgmt-intf
 ip address 172.16.0.123 255.255.255.0
 no shutdown
!

ip route vrf Mgmt-intf 0.0.0.0 0.0.0.0 172.16.0.254

username admin privilege 15 password 0 Pa$$w0rd

end

実際にWeb UIやSSHでアクセスを試してみて、問題がなければ設定を保存してください。

write memory

ASUS社製USB-AX56の認証方式の対応状況 (netsh wlan show drivers)

Wireless

ASUS社製のUSB-AX56を購入したので、認証方式 (例: WPA3-Enterprise)の対応状況を記載します。

ASUS USB-AX56のパッケージ前面

対応OS

パッケージ (箱)上の対応OSの記載はWindows 10のみでしたが、Windows 11のドライバーも存在しました。 筆者はWindows 11のノートPCに挿して認識できました。

https://www.asus.com/jp/networking-iot-servers/adapters/all-series/usb-ax56/helpdesk_download?model2Name=USB-AX56

netsh wlan show drivers の出力結果

Windows 11上で認識させた際の netsh wlan show drivers の結果を掲載します。

netsh wlan show drivers の出力結果

PS C:\Users\localadmin> netsh wlan show drivers

Interface name: ASUS_USB-AX56

    Driver                    : ASUS Wireless USB Adapter
    Vendor                    : Realtek Semiconductor Corp.
    Provider                  : Realtek Semiconductor Corp.
    Date                      : 2021/07/27
    Version                   : 5001.0.13.104
    INF file                  : oem104.inf
    Type                      : Native Wi-Fi Driver
    Radio types supported     : 802.11n 802.11g 802.11b 802.11ax 802.11ac 802.11n 802.11a
    FIPS 140-2 mode supported : Yes
    802.11w Management Frame Protection supported : Yes
    Hosted network supported  : No
    Authentication and cipher supported in infrastructure mode:
                                Open             None
                                WPA2-Personal    CCMP
                                Open             WEP-40bit
                                Open             WEP-104bit
                                Open             WEP
                                WPA-Enterprise   TKIP
                                WPA-Personal     TKIP
                                WPA2-Enterprise  TKIP
                                WPA2-Personal    TKIP
                                WPA-Enterprise   CCMP
                                WPA-Personal     CCMP
                                WPA2-Enterprise  CCMP
                                WPA3-Personal    CCMP
                                Vendor defined   TKIP
                                Vendor defined   CCMP
                                Vendor defined   Vendor defined
                                Vendor defined   Vendor defined
                                WPA2-Enterprise  Vendor defined
                                WPA2-Enterprise  Vendor defined
                                Vendor defined   Vendor defined
                                Vendor defined   Vendor defined
    Number of supported bands : 2
                                2.4 GHz [ 0 MHz - 0 MHz]
                                5 GHz   [ 0 MHz - 0 MHz]

ASUS USB-AX56パッケージ (箱)のセキュリティー項目

Web上の製品情報では認証方式の対応状況の判断がつかなかったので個人的にかなり気になる個所でしたが、パッケージには記載されていました。 注目点としては、WPA3-Personalには対応していますが、WPA3-Enterpriseに対応していません。

ASUS USB-AX56パッケージ (箱)のセキュリティー項目

補足ですが、WPA3-Enterpriseに対応しているUSB無線LANアダプタは市場に少ないので、業務用途を想定した検証目的でUSB無線LANアダプタを購入される際は、本製品に限らず認証方式の対応状況を意識して選定した方が良いです。

vSphere版Catalyst 9800-CLにおけるサイジング情報とWNCd数の対応付け

Catalyst 9800

仮想アプライアンスであるCatalyst 9800-CLのvSphere版にて、サイジング情報とWNCd数の対応付けを整理しました。

前提情報としてCatalyst 9800-CLのWNCd (Wireless Network Control daemon)は、OVAファイルからのデプロイ時のサイジングによって変化します。

本記事の情報は2024年03月頃の情報を元にしており、当時の最新のVersionは v17.13.1 です。

vSphere版Catalyst 9800-CLのサイジング情報

サイジングの情報は表形式で下記の画像にまとめました。 OVAからデプロイする際のCapacityとDescriptionの情報に、OVA template sizeを紐付けたものです。

vSphere版Catalyst 9800-CLのサイジング情報

サイジング情報はデプロイ後でも show platform software system all のコマンドによって取得できます。

wlc01# show platform software system all
Controller Details:
=================
VM Template: medium
Throughput Profile: high
AP Scale: 3000
Client Scale: 32000
WNCD instances: 3

<snip>

vSphere版Catalyst 9800-CLのWNCd数

WNCd数はVM template/Scaleの small, medium, large によって決まります。

vSphere版Catalyst 9800-CLのWNCd数

OVA template size VM template Throughput Profile WNCD instances
Ultra-Low small low 1
Small (Low Throughput) small low 1
Small (High Throughput) small high 1
Medium (Low Throughput) medium low 3
Medium (High Throughput) medium high 3
Large (Low Throughput) large low 7
Large (High Throughput) large high 7
Large (App Heavy) large high 7
Large (App Heavy High Throughput) large high 7

WNCd数は show processes platform | include wncd のコマンドで確認できます。

wlc01# show processes platform | include wncd
 14986   14654  S           255492  wncd_0                
 15264   14903  S           255536  wncd_1                
 15601   15204  S           256080  wncd_2                
wlc01#

関連ドキュメント

サイジング情報の情報源

サイジング情報はCatalyst 9800-CLのData Sheetで最新の状況を確認してください。

www.cisco.com

WNCd数の情報源

WNCd数の情報源はCatalyst 9800のBest Practicesより Designing with site tags in mind セクションを参照してください。

https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/guide-c07-743627.html#Designingwithsitetagsinmind

WNCd数とSite Tagの関係性を意識して設計を行うのが好ましい都合で、間接的にWNCd数が暗示される形になっています。なお、WNCd数が1のものは表に記載がありません。

Cisco Catalyst 9800 Series Configuration Best Practices - Cisco (2024年03月10日時点)

Catalyst 9100 (Lightweight CAPWAP Mode)のログイン情報

Catalyst 9800

Cisco社の無線APであるCatalyst 9100 (Lightweight CAPWAP Mode)のログイン情報を整理します。

起動直後の初期状態

Catalyst 9100 (無線AP)が起動直後の初期状態であり、Catalyst 9800 (WLC)にJoinする前の各ログイン情報は Cisco になっています。

項目 パスワード
Username Cisco
Password Cisco
Secret (Enable) Cisco

CLIで実際にログインする際は下記のようになります。パスワード入力の文字列は視覚化しています。

User Access Verification
Username: Cisco
Password: Cisco
ap01> enable
Password: Cisco
ap01#

Catalyst 9800 (WLC)にJoin後

Catalyst 9100 (無線AP)がCatalyst 9800 (WLC)にJoinすると、所属するAP Join Profileの応じたログイン情報に変更されます。

特に個別の設定を作成していないと default-ap-profile が適用されます。 より正確にはSite Tagに紐付く AP Join Profile のデフォルト値が default-ap-profile になっております。

  • 設定個所ですが、メニュー: Configuration > Tags & Profiles > AP Join より適用対象のAP Join Profileを開いて、Management タブ > User タブ にログイン情報の設定があります。

    User Management の設定

  • 無線APがどのAP Join Profileに紐付いているかは AP Operational Configuration Viewer (関連記事リンク)を参照すると分かりやすいです。

    AP Operational Configuration Viewer による AP Join Profile の紐付きの確認

  • ちなみに Day 0 Express Setup では Create New AP Management User を設定していると、AP Join Profile: default-ap-profile にログイン情報が反映されます。

    Day 0 Express Setup の Create New AP Management User

情報源

Catalyst 9800のBest Practicesの Default AP console username and password セクションに本挙動が書かれています。

Cisco Catalyst 9800 Series Configuration Best Practices - Cisco
https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/guide-c07-743627.html#DefaultAPconsoleusernameandpassword

関連記事

myhomenwlab.hatenablog.com

Ciscoの無線LAN製品におけるDHCP Option 43のIP Addressの16進数表記への変換 (CyberChefを利用)

Catalyst 9800

Cisco無線LAN製品において無線APをWLCにJoinさせるために、DHCP Option 43を利用して無線APにWLCの情報を伝える方法があります。 そのDHCP Option 43にはWLCのIP Addressを16進数 (Hex)で指定する必要があり、ドット表記の10進数 (Dotted Decimal)からの変換が必要になります。

本記事ではCyberChefを用いて、IP Addressの16進数表記への変換を行います。

gchq.github.io

CyberChefでのデータの扱い

CyberChefは「入力されたデータ」と「Recipe」は外部に送信されないようになっています。 「Recipe」はユーザー自身が定義したロジックに相当し、今回の場合だと16進数への変換処理が該当します。

挙動が気になる方は、Webブラウザの開発者ツールを開いて適当な値を変換し、ネットワーク上にデータが流れていないのを事前に確認しておくのが良いと思います。

もちろんCyberCefのソース コードをダウンロードするための初回接続時には通信が発生するので、初回接続後に何度か変換を試してみてください。

Chromeでは F12 キーを押下して開発者ツールを開きます。

CyberChefのネットワーク通信をChromeの開発者ツールで確認

CyberChefのスタンドアローン版のダウンロード (任意)

スタンドアローン版もあります。ダウンロード時の画面に先ほどのデータの取り扱いの情報も書かれております。

CyberChefのスタンドアローン版のダウンロード (2024年03月時点)

IP Addressの16進数 (Hex)表記への変換方法

16進数への変換処理を行うには「Recipe」を書く必要があります。

CyberChefの名の通り、ユーザー自身が料理人 (Chef)となって目的/用途に応じた調理方法 (Recipe)を定義するイメージです。

IP Addressの16進数 (Hex)表記への変換方法

  1. 検索欄で Change IP format を探してダブル クリックして Recipe の欄に追加します。Drag & Dropでも追加できます。

  2. Recipe の欄に追加した Change IP format の項目を下記のように変更します。

    項目 備考
    Input format Dotted Decimal デフォルト値です。
    Output format Hex

  3. Input の欄に任意のIP Addressを入力すると、Output の欄に16進数表記で出力されます。その値をコピーして適宜利用します。

書式の変換例

変換例をいくつか記載します。

変換例#1 (IP Address: 192.168.0.123)

Input (ドット表記) Output (16進数表記)
192.168.0.123 c0a8007b

下記は変換例の情報を埋め込んだオンライン版 (Live版)への直接リンクです。

変換例#2 (Ciscoドキュメント ベース)

Ciscoのドキュメントで例示されているIP Addressで試すと変換結果の確認に使えます。

www.cisco.com

For example, suppose there are two controllers with management interface IP addresses, 192.168.10.5 and 192.168.10.20. The type is 0xf1. The length is 2 * 4 = 8 = 0x08. The IP addresses translate to c0a80a05 (192.168.10.5) and c0a80a14 (192.168.10.20). When the string is assembled, it yields f108c0a80a05c0a80a14. On the Lucent QIP DHCP server, the hex string that needs to be added to the DHCP scope is:

Input (ドット表記) Output (16進数表記)
192.168.10.5 c0a80a05
192.168.10.20 c0a80a14